SlideShare ist ein Scribd-Unternehmen logo

#NSD15 - Sécurité des plateformes voix

NetSecure Day
NetSecure Day

Toutes les informations sur http://www.netsecure-day.fr/nsd15

Technologie
1 von 18
Consulting TIME – Décembre 2015 La sécurité des plateformes voix
Préambule : présentation … - Rouen 2015 - Consulting TIME est une société de conseil, d’ingénierie et de stratégie en télécommunications, outils et solutions de communication numérique, fondée en 2011 par Lamine TALAKELA ingénieur/chef de projet télécom de formation. 8 ans d’experience télécom & T.I.C Références grands comptes essentiellement (Bouygues Telecom, La Poste, Technicolor, LG-Ericsson, Fiducial, Caisse des dépôts et consignations, groupe Numericable, …) Plus de 130 000 utilisateurs des solutions préconnisées ou intégrées par Consulting TIME depuis 2011 tels que : - téléphonie sur IP/cloud - convergence fixe-mobile, et mobile centrex - communications unifiées - stratégie opérateur et R&D - Formation - outils TIC pour la communication - … etc Lancement de l’activité internationale en janvier 2014 (Europe/MENA) Promoteur d’innovation et créateur de richesse
3 Introduction : quelles plateformes voix pour les entreprises ? Les entreprises de toutes tailles ont de + en + des besoins forts en téléphonie pour leurs activités : - 30% sont des TPE (1 à 10 personnes) - 60% sont des PME (50 à 500 personnes) - 10% sont des grandes entreprises … voir très grandes (de 500 à plusieurs dizaines de milliers) Il y a plusieurs types de solutions voix, nous allons distinguer 2 types de plateformes : - Les plateformes voix internalisées (PABX/IPBX, propriétaire/open source) - Les plateformes voix externalisées (cloud, solutions opérateurs, mobile) Des différences notoires côté fournisseur de services (opérateur) pour les plateformes, mais du point de vue client beaucoup de similitudes. => Complexité & vigilance ! - Rouen 2015 -
4 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
5 Quelles sont les menaces ? Typologies des principales menaces :  Usage interne mal-intentionné  Le détournement des accès téléphoniques  Exploitation de failles du système téléphonique - Rouen 2015 -
6 Quelles sont les menaces ? Usage interne mal-intentionné :  Ecoute illégale/espionnage (utilisation abusive des fonctions d’écoute silencieuses, accès frauduleux aux messageries vocales, enregistrements de conversations)  Usurpations d’identités - Rouen 2015 -
7 Quelles sont les menaces ? Le détournement des accès téléphoniques :  Fraude téléphonique dans le but de passer des appels gratuitement  Renvoyer les appels vers des numéros surtaxés  Faire de la revente de communications à des tiers - Rouen 2015 -
8 Quelles sont les menaces ? Exploitation de failles du système téléphonique :  Faire du deni de service (attaque pour dénaturer/saturer/saboter le comportement du système téléphonique)  Intrusion pour pirater l’entreprise ou créer des connexions clandestines (brouillage de pistes, revente de communications, …) - Rouen 2015 -
9 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
10 Quelles solutions ? Que faire de manière préventive ?  Politique de sécurité de l’entreprise  Avoir une politique de sécurité et l’appliquer  Avoir des rapports d’état et des tableaux de bords (comme pour le système d’information)  Avoir une journalisation de l’activité / logs  Protéger ses équipements  Faire réaliser des audits régulièrement  Surveiller l’activité (modifs de config et fonctions sensibles, facturation)  Sécuriser l’accès aux équipements (physique et réseau)  Protéger le réseau téléphonique  Configuration LAN, interco WAN, analyse du trafic (entrant et sortant, usages)  Sécurisation particulière de certains terminaux (sécurité renforcée, isolement réseau/VLAN) Pour l’entreprise, comment se prémunir ? - Rouen 2015 -
11 De la même manière … et plus encore ! Le fournisseur de service est responsable de l’acheminement correct du trafic voix dans le cadre d’un usage légal. Il doit particulièrement :  Se protéger des attaques, des failles et usages frauduleux (équipements spécifiques, précautions particulières)  Dispose d’une traçabilité complète des appels sur son réseau sur 1 an (en théorie), avec obligation de fournir ces informations pour les autorités sur demandes (écoutes légales, traçabilités, …) Comment se prémunir ? … … focus opérateur - Rouen 2015 -
12 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
13 Conséquences et responsabilités En cas de menace et fraude avérée, qu’elles peuvent être les conséquences ?  Conséquences financières (facturation, système de téléphonie, autres systèmes de l’entreprise, fonctionnement de l’entreprise, productivité, concurrence, vie privée, …)  Conséquences sur la notoriété de l’entreprise (image, clients, …)  Conséquences pénales pour le(s) dirigeants de l’entreprises - Rouen 2015 -
14 Conséquences et responsabilités L’entreprise utilisant un système de téléphonie pour ses besoins est en 1er lieu responsable de son usage. => Nécessité de prouver la fraude (interne ou extérieure) … Sinon : - Considéré comme une négligence - Obligation de régler les frais liés à la fraude (factures, équipement(s) endommagé(s), …) - Porter plainte contre X … procédure très longue L’importance de disposer d’une couverture dans son contrat d’assurance pro. - Rouen 2015 -
15 Conséquences et responsabilités En résumé, en amont : - Sensibiliser vos collaborateurs, et mettre en place une politique de sécurité - Protéger ses équipements et ses réseaux, et les auditer régulièrement - Souscrire à une assurance pro couvrant ce type de risques … lorsqu’il y a fraude : - Être capable de prouver la fraude rapidement ou démontrer que la fraude ne peut venir de chez soi (l’opérateur doit vérifier chez lui, ou le constructeur du/des équipements) - Rouen 2015 -
16 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
17 Quelques conseils et points de vigilance  Configurer des alertes du système et des interfaces (si possible) ou service opérateur (?)  Mots de passe sur les téléphones, code de numérotation, mot de passe sur l’accès au service (messagerie)  Sécuriser les terminaux ayant accès au réseau voix et au système téléphonique (couple profilTéléphone/adressePhysique)  Configurer des restrictions (blacklists/whitelists)  Demander la mise en place des protocoles de sécurité  Vigilance particulière des terminaux utilisants des softphones et de la bureautique (frontière de plus en plus mince avec l’usage des mobiles) … => Attention à la téléphonie mobile - Rouen 2015 -
18 Consulting Time – contactez-nous Consulting TIME : “it’s time to communicate” Promoteur d’innovation, créateur de richesse contact@consultingtime.fr www.consultingtime.fr www.facebook.com/consultingtime twitter.com/consultingtime plus.google.com/+consultingtimeFR

Empfohlen

Sécurité de la VoIP : quels risques et quelles solutions pour votre entrepris...
Sécurité de la VoIP : quels risques et quelles solutions pour votre entrepris...Sécurité de la VoIP : quels risques et quelles solutions pour votre entrepris...
Sécurité de la VoIP : quels risques et quelles solutions pour votre entrepris...
Ava Axialys
 
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
NetSecure Day
 
#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaire#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaire
NetSecure Day
 
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
NetSecure Day
 
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
NetSecure Day
 
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
NetSecure Day
 
#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels
NetSecure Day
 
#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières
NetSecure Day
 

Empfohlen

Sécurité de la VoIP : quels risques et quelles solutions pour votre entrepris...
Sécurité de la VoIP : quels risques et quelles solutions pour votre entrepris...Sécurité de la VoIP : quels risques et quelles solutions pour votre entrepris...
Sécurité de la VoIP : quels risques et quelles solutions pour votre entrepris...
Ava Axialys
 
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
#NSD16 - vos informations ont de la valeur prenez-en soin - Florence Feniou
NetSecure Day
 
#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaire#NSD15 - Les défis de l'expert judiciaire
#NSD15 - Les défis de l'expert judiciaire
NetSecure Day
 
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
#NSD16 - le test d’intrusion red team : digne successeur de l’audit de sécuri...
NetSecure Day
 
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
#NSD15 - Interactions entre sécurité physique et sécurité logique avec une do...
NetSecure Day
 
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
#NSD16 - Comment assurer la scalabilité et la sécurité des api - Vincent Casse
NetSecure Day
 
#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels#NSD15 - Partage sécurisé en P2P entre cloud personnels
#NSD15 - Partage sécurisé en P2P entre cloud personnels
NetSecure Day
 
#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières#NSD15 - Sécurité : Sons & Lumières
#NSD15 - Sécurité : Sons & Lumières
NetSecure Day
 
Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskDocument sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Emeric Kamleu Noumi
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
Association Transition Numérique +
 
Sécuriser votre voix sur IP (VoIP)
Sécuriser votre voix sur IP (VoIP)Sécuriser votre voix sur IP (VoIP)
Sécuriser votre voix sur IP (VoIP)
Techso
 
Entrepreneurs & Solutions Cloud : réussir la mutation du S.I
Entrepreneurs & Solutions Cloud : réussir la mutation du S.IEntrepreneurs & Solutions Cloud : réussir la mutation du S.I
Entrepreneurs & Solutions Cloud : réussir la mutation du S.I
Yann Dieulangard
 
RIDY 2017 - Atelier Objets Connectés (iot)
RIDY 2017 - Atelier Objets Connectés (iot)RIDY 2017 - Atelier Objets Connectés (iot)
RIDY 2017 - Atelier Objets Connectés (iot)
CCI Yonne
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011
Cyber Security Alliance
 
CV-Fr-photo
CV-Fr-photoCV-Fr-photo
CV-Fr-photo
Laurent Rochetta
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Cebit
CebitCebit
Cebit
HAMIDOS
 
Prez Tech à la menthe sur les télécommunications d'entreprise
Prez Tech à la menthe sur les télécommunications d'entreprise Prez Tech à la menthe sur les télécommunications d'entreprise
Prez Tech à la menthe sur les télécommunications d'entreprise
Youssef Rahoui
 
Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)
niokho
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009
Aref Jdey
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
Oxalide
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
Oxalide
 
France cyber security
France cyber securityFrance cyber security
France cyber security
Karen Gordon
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
ir. Carmelo Zaccone
 
Tcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaTcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panorama
CERTyou Formation
 
Enov novascope telecoms et reseaux informatiques b2 b_1493
Enov novascope telecoms et reseaux informatiques b2 b_1493Enov novascope telecoms et reseaux informatiques b2 b_1493
Enov novascope telecoms et reseaux informatiques b2 b_1493
FlicieHumbert
 
Enov novascope telecoms et reseaux informatiques b2 b_1493
Enov novascope telecoms et reseaux informatiques b2 b_1493Enov novascope telecoms et reseaux informatiques b2 b_1493
Enov novascope telecoms et reseaux informatiques b2 b_1493
FlicieHumbert
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
NetSecure Day
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
NetSecure Day
 

Weitere ähnliche Inhalte

Ähnlich wie #NSD15 - Sécurité des plateformes voix

Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)
niokho
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
Oxalide
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
Oxalide
 
Tcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaTcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panorama
CERTyou Formation
 

Ähnlich wie #NSD15 - Sécurité des plateformes voix (20)

Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskDocument sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
 
Sécuriser votre voix sur IP (VoIP)
Sécuriser votre voix sur IP (VoIP)Sécuriser votre voix sur IP (VoIP)
Sécuriser votre voix sur IP (VoIP)
 
Entrepreneurs & Solutions Cloud : réussir la mutation du S.I
Entrepreneurs & Solutions Cloud : réussir la mutation du S.IEntrepreneurs & Solutions Cloud : réussir la mutation du S.I
Entrepreneurs & Solutions Cloud : réussir la mutation du S.I
 
RIDY 2017 - Atelier Objets Connectés (iot)
RIDY 2017 - Atelier Objets Connectés (iot)RIDY 2017 - Atelier Objets Connectés (iot)
RIDY 2017 - Atelier Objets Connectés (iot)
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011Communiqué de presse AppSec Forum 2011
Communiqué de presse AppSec Forum 2011
 
CV-Fr-photo
CV-Fr-photoCV-Fr-photo
CV-Fr-photo
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Cebit
CebitCebit
Cebit
 
Prez Tech à la menthe sur les télécommunications d'entreprise
Prez Tech à la menthe sur les télécommunications d'entreprise Prez Tech à la menthe sur les télécommunications d'entreprise
Prez Tech à la menthe sur les télécommunications d'entreprise
 
Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)Cp 2013 security_report_web_fr(1)
Cp 2013 security_report_web_fr(1)
 
Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009Panorama de la Cyber-criminalité - Année 2009
Panorama de la Cyber-criminalité - Année 2009
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
 
Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009Clusif panoramadelacybercrimalite2009
Clusif panoramadelacybercrimalite2009
 
France cyber security
France cyber securityFrance cyber security
France cyber security
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
 
Tcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panoramaTcmp formation-telecommunications-le-panorama
Tcmp formation-telecommunications-le-panorama
 
Enov novascope telecoms et reseaux informatiques b2 b_1493
Enov novascope telecoms et reseaux informatiques b2 b_1493Enov novascope telecoms et reseaux informatiques b2 b_1493
Enov novascope telecoms et reseaux informatiques b2 b_1493
 
Enov novascope telecoms et reseaux informatiques b2 b_1493
Enov novascope telecoms et reseaux informatiques b2 b_1493Enov novascope telecoms et reseaux informatiques b2 b_1493
Enov novascope telecoms et reseaux informatiques b2 b_1493
 

Mehr von NetSecure Day

#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
NetSecure Day
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
NetSecure Day
 
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
NetSecure Day
 

Mehr von NetSecure Day (17)

#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
#NSD16 - certicate transparency : des journaux publics en ajout seul pour séc...
 
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
#NSD16 - bug bounty as a service - Manuel Dorne (alias Korben)
 
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
#NSD16 - btle juice, un framework d’interception pour le bluetooth low energy...
 
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
#NSD16 - ré-inventer une informatique au service de l'homme - Tristan Nitot
 
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
#NSD16 - le suivi des bonnes pratiques tls dans l’écosystème https - Maxence ...
 
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
#NSD16 - Et si on parlait d'authentification forte - Nicolas Glondu
 
#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêter#NSD15 - Attaques DDoS Internet et comment les arrêter
#NSD15 - Attaques DDoS Internet et comment les arrêter
 
#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets
 
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters#NSD14 - Sécuriser l'infrastructure réseau des datacenters
#NSD14 - Sécuriser l'infrastructure réseau des datacenters
 
#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des données#NSD14 - Protection contre l'espionnage des données
#NSD14 - Protection contre l'espionnage des données
 
#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data
 
#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet#NSD14 - Sécuriser le moteur de l'Internet
#NSD14 - Sécuriser le moteur de l'Internet
 
#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événement#NSD14 - Lancement de l'événement
#NSD14 - Lancement de l'événement
 

#NSD15 - Sécurité des plateformes voix

  • 1. Consulting TIME – Décembre 2015 La sécurité des plateformes voix
  • 2. Préambule : présentation … - Rouen 2015 - Consulting TIME est une société de conseil, d’ingénierie et de stratégie en télécommunications, outils et solutions de communication numérique, fondée en 2011 par Lamine TALAKELA ingénieur/chef de projet télécom de formation. 8 ans d’experience télécom & T.I.C Références grands comptes essentiellement (Bouygues Telecom, La Poste, Technicolor, LG-Ericsson, Fiducial, Caisse des dépôts et consignations, groupe Numericable, …) Plus de 130 000 utilisateurs des solutions préconnisées ou intégrées par Consulting TIME depuis 2011 tels que : - téléphonie sur IP/cloud - convergence fixe-mobile, et mobile centrex - communications unifiées - stratégie opérateur et R&D - Formation - outils TIC pour la communication - … etc Lancement de l’activité internationale en janvier 2014 (Europe/MENA) Promoteur d’innovation et créateur de richesse
  • 3. 3 Introduction : quelles plateformes voix pour les entreprises ? Les entreprises de toutes tailles ont de + en + des besoins forts en téléphonie pour leurs activités : - 30% sont des TPE (1 à 10 personnes) - 60% sont des PME (50 à 500 personnes) - 10% sont des grandes entreprises … voir très grandes (de 500 à plusieurs dizaines de milliers) Il y a plusieurs types de solutions voix, nous allons distinguer 2 types de plateformes : - Les plateformes voix internalisées (PABX/IPBX, propriétaire/open source) - Les plateformes voix externalisées (cloud, solutions opérateurs, mobile) Des différences notoires côté fournisseur de services (opérateur) pour les plateformes, mais du point de vue client beaucoup de similitudes. => Complexité & vigilance ! - Rouen 2015 -
  • 4. 4 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
  • 5. 5 Quelles sont les menaces ? Typologies des principales menaces :  Usage interne mal-intentionné  Le détournement des accès téléphoniques  Exploitation de failles du système téléphonique - Rouen 2015 -
  • 6. 6 Quelles sont les menaces ? Usage interne mal-intentionné :  Ecoute illégale/espionnage (utilisation abusive des fonctions d’écoute silencieuses, accès frauduleux aux messageries vocales, enregistrements de conversations)  Usurpations d’identités - Rouen 2015 -
  • 7. 7 Quelles sont les menaces ? Le détournement des accès téléphoniques :  Fraude téléphonique dans le but de passer des appels gratuitement  Renvoyer les appels vers des numéros surtaxés  Faire de la revente de communications à des tiers - Rouen 2015 -
  • 8. 8 Quelles sont les menaces ? Exploitation de failles du système téléphonique :  Faire du deni de service (attaque pour dénaturer/saturer/saboter le comportement du système téléphonique)  Intrusion pour pirater l’entreprise ou créer des connexions clandestines (brouillage de pistes, revente de communications, …) - Rouen 2015 -
  • 9. 9 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
  • 10. 10 Quelles solutions ? Que faire de manière préventive ?  Politique de sécurité de l’entreprise  Avoir une politique de sécurité et l’appliquer  Avoir des rapports d’état et des tableaux de bords (comme pour le système d’information)  Avoir une journalisation de l’activité / logs  Protéger ses équipements  Faire réaliser des audits régulièrement  Surveiller l’activité (modifs de config et fonctions sensibles, facturation)  Sécuriser l’accès aux équipements (physique et réseau)  Protéger le réseau téléphonique  Configuration LAN, interco WAN, analyse du trafic (entrant et sortant, usages)  Sécurisation particulière de certains terminaux (sécurité renforcée, isolement réseau/VLAN) Pour l’entreprise, comment se prémunir ? - Rouen 2015 -
  • 11. 11 De la même manière … et plus encore ! Le fournisseur de service est responsable de l’acheminement correct du trafic voix dans le cadre d’un usage légal. Il doit particulièrement :  Se protéger des attaques, des failles et usages frauduleux (équipements spécifiques, précautions particulières)  Dispose d’une traçabilité complète des appels sur son réseau sur 1 an (en théorie), avec obligation de fournir ces informations pour les autorités sur demandes (écoutes légales, traçabilités, …) Comment se prémunir ? … … focus opérateur - Rouen 2015 -
  • 12. 12 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
  • 13. 13 Conséquences et responsabilités En cas de menace et fraude avérée, qu’elles peuvent être les conséquences ?  Conséquences financières (facturation, système de téléphonie, autres systèmes de l’entreprise, fonctionnement de l’entreprise, productivité, concurrence, vie privée, …)  Conséquences sur la notoriété de l’entreprise (image, clients, …)  Conséquences pénales pour le(s) dirigeants de l’entreprises - Rouen 2015 -
  • 14. 14 Conséquences et responsabilités L’entreprise utilisant un système de téléphonie pour ses besoins est en 1er lieu responsable de son usage. => Nécessité de prouver la fraude (interne ou extérieure) … Sinon : - Considéré comme une négligence - Obligation de régler les frais liés à la fraude (factures, équipement(s) endommagé(s), …) - Porter plainte contre X … procédure très longue L’importance de disposer d’une couverture dans son contrat d’assurance pro. - Rouen 2015 -
  • 15. 15 Conséquences et responsabilités En résumé, en amont : - Sensibiliser vos collaborateurs, et mettre en place une politique de sécurité - Protéger ses équipements et ses réseaux, et les auditer régulièrement - Souscrire à une assurance pro couvrant ce type de risques … lorsqu’il y a fraude : - Être capable de prouver la fraude rapidement ou démontrer que la fraude ne peut venir de chez soi (l’opérateur doit vérifier chez lui, ou le constructeur du/des équipements) - Rouen 2015 -
  • 16. 16 Sommaire Introduction : Quelles plateformes voix pour les entreprises ? Quelles sont les menaces ? Les conséquences et responsabilités Comment se prémunir ? Conseils techniques et nouveaux points de vigilance
  • 17. 17 Quelques conseils et points de vigilance  Configurer des alertes du système et des interfaces (si possible) ou service opérateur (?)  Mots de passe sur les téléphones, code de numérotation, mot de passe sur l’accès au service (messagerie)  Sécuriser les terminaux ayant accès au réseau voix et au système téléphonique (couple profilTéléphone/adressePhysique)  Configurer des restrictions (blacklists/whitelists)  Demander la mise en place des protocoles de sécurité  Vigilance particulière des terminaux utilisants des softphones et de la bureautique (frontière de plus en plus mince avec l’usage des mobiles) … => Attention à la téléphonie mobile - Rouen 2015 -
  • 18. 18 Consulting Time – contactez-nous Consulting TIME : “it’s time to communicate” Promoteur d’innovation, créateur de richesse contact@consultingtime.fr www.consultingtime.fr www.facebook.com/consultingtime twitter.com/consultingtime plus.google.com/+consultingtimeFR